Kā uzzināt, kurš process klausās Windows portā? Tīkla klausīšanās (sniffing) TCP klausīšanās.

Lekciju kurss

disciplīnā “Informācijas procesu aizsardzība datorsistēmās”

1. daļa

1. Uzbrucēja sasniegtie mērķi

2. Metodes un instrumenti

2.1. Klausīšanās tīklā

2.2. Skenēšana

2.3. Pakešu ģenerēšana

2.4. Trojas zirgi

2.5. Ekspluatācijas

2.6. Programmas automātiskai paroles izvēlei

3. Tīkla uzbrukumu klasifikācija

3.1. Pēc OSI modeļa līmeņa

3.2. Tips

3.3. Pēc uzbrucēja un uzbrukuma objekta atrašanās vietas

4. Maldināšanas uzbrukumi

5. Uzbrukumi, kas nodrošina nesankcionētu datu apmaiņu

5.1. Tunelēšana

5.2. Sīku fragmentu uzbrukums

6. Datu pārtveršanas uzbrukumi

6.1. Nepatiess ICMP novirzīšanas ziņojums

6.2. Nepatiess DHCP ziņojums

6.3. Uzbrukums maršrutēšanas protokoliem

7. Distributed denial of service (DDoS) uzbrukumi

7.1. DDoS uzbrukumu vispārīgie principi un koncepcijas

7.2. DDoS uzbrukumi, kuru pamatā ir TCP protokols

7.3. DDoS uzbrukumi, kuru pamatā ir UDP protokols

7.4. DDoS uzbrukumi, kuru pamatā ir ICMP protokols

8. Lietojumprogrammu līmeņa uzbrukumi

8.1. Paroles uzbrukumi

8.2. SQL injekcija

8.3. Starpvietņu skriptēšana (XSS)

9. Draudi un uzbrukumi 802.11 bezvadu tīkliem

Informācijas drošības nodrošināšanas problēmas aktualitāti un nozīmi nosaka šādi faktori:

· Straujā globālā interneta attīstība

Šāda globalizācija ļauj uzbrucējiem no gandrīz jebkuras vietas pasaulē, kur ir internets, tūkstošiem kilometru attālumā, veikt uzbrukumu korporatīvajam tīklam.

· Viegli lietojamu uzlaušanas programmu izplatīšana

Viegli lietojamu kaitīgo programmu un ieteikumu to izmantošanas plašā izplatība ir izraisījusi krasu zināšanu un prasmju līmeņa pazemināšanos, kas uzbrucējam nepieciešamas, lai veiktu veiksmīgu uzbrukumu.

· Gandrīz visu uzņēmumu biznesa procesu automatizācija

Ievērojams informācijas apjoma pieaugums, kas tiek glabāts un apstrādāts, izmantojot datorus un citus automatizācijas rīkus, ir veicinājis draudu rašanos, kas saistīti ar datu zaudēšanas, izkropļošanas un izpaušanas iespējamību. Pēc ekspertu domām, šobrīd aptuveni 70-90% no uzņēmuma intelektuālā kapitāla tiek glabāti digitāli.

· Daudzas programmatūras un tīkla platformu ievainojamības

Konkurences dēļ mūsdienu programmatūras produkti tiek pārdoti ar kļūdām un defektiem. Kļūdas un nepilnības, kas paliek šajās sistēmās, noved pie nejaušiem un tīšiem informācijas drošības pārkāpumiem.

· Nevērība pret informācijas drošības jautājumiem uzņēmumā.

Informācijas atbalsta trūkums darbiniekiem informācijas drošības un komercnoslēpumu saglabāšanas jomā.

· Bezvadu tīklu tehnoloģiju popularitātes palielināšana korporatīvajā vidē. Tas ir saistīts ar izvietošanas vieglumu (nav nepieciešams likt kabeli), aprīkojuma relatīvo lētumu, ievērojami zemākas izmaksas, ja nepieciešams paplašināt tīklu (salīdzinot ar vadu analogu, pietiek ar to, lai segtu nepieciešamā zona ar piekļuves punktiem), kā arī mobilitāte lietotājiem un elastība, paplašinoties.

Uzbrucēja sasniegtie vārti

- informācijas zādzība(piemērs – pieteikšanās un paroles zādzība; komercnoslēpuma informācijas zādzība)

- informācijas modificēšana(piemērs – informācijas maiņa par konta statusu bankas datubāzē)

- informācijas resursa pieejamības pārkāpums(šajā gadījumā uzbrucēju neinteresē informācija; viņa mērķis ir sarežģīt vai padarīt neiespējamu servera darbību tiktāl, ka citi lietotāji nevar izmantot tā pakalpojumus).

Metodes un instrumenti

Klausīšanās tīklā (šņaukšana)

Trafika klausīšanās lokālajos tīklos tiek veikta, izmantojot īpašas programmas - sniffers. Šī programma uztver paketes, kas nonāk datora tīkla saskarnē, un ļauj tās analizēt.

Tā kā dažas tīkla lietojumprogrammas pārsūta datus teksta formātā (HTTP, FTP, SMTP, POP3 utt.), izmantojot sniffer, var atklāt noderīgu un dažkārt arī sensitīvu informāciju (piemēram, lietotājvārdus un paroles). Lietotājvārdu un paroļu pārtveršana rada lielas briesmas, jo lietotāji bieži izmanto vienu un to pašu pieteikumvārdu un paroli vairākiem resursiem un lietojumprogrammām.

Tīkla ķīmijas Packetyzer sniffer programmas interfeiss

Trafika klausīšanās process vietējā tīklā ir atkarīgs no tā topoloģijas un tajā izmantotā aprīkojuma.

Iepriekš vietējie tīkli nebija pārslēgti. Datu apmaiņa starp datoriem tīklā notika pa vienu un to pašu informācijas kanālu vai, rupji sakot, pa vienu un to pašu vadu neatkarīgi no sūtītāja un saņēmēja. Pie šādiem tīkliem pieder Ethernet tīkli ar “Common Bus” topoloģiju (tagad novecojuši), Ethernet tīkli ar “Star” topoloģiju, kas balstīta uz centrmezglu vai centrmezglu (pašlaik tiek izmantots reti), Wi-Fi standarta bezvadu tīkli.

Ethernet ar “Common Bus” topoloģiju

Ethernet ar “Star” topoloģiju, kuras pamatā ir centrmezgls (centrmezgls)

Bezvadu Wi-Fi tīkls

Nepārslēgtos tīklos katrs dators saņem visas tīklā pārsūtītās paketes. Saņemot paketi, tīkla kartes draiveris analizē paketes galveni, izvelk no turienes saņēmēja MAC adresi un salīdzina to ar tīkla kartes MAC adresi. Ja adreses sakrīt, pakete tiek pārsūtīta uz operētājsistēmu turpmākai apstrādei. Ja adreses nesakrīt, pakete tiek izmesta.

Ir skaidrs, ka ar šādu shēmu uzbrucējam ir viegli klausīties visu trafiku tīklā. Lai to izdarītu, tīkla karte jāievieto īpašā režīmā - tā sauktajā izlaidumā (“nesaprotamā”). Tīkla karte “promiscuous” režīmā pieņem visas paketes neatkarīgi no to galamērķa adreses un pārsūta tās uz sniffer programmu analīzei. (Lielākajā daļā gadījumu izlaidības režīms tiek automātiski ieslēgts pēc sniffer palaišanas).

Tomēr mūsdienās lielākā daļa Ethernet tīklu tiek veidoti uz slēdža pamata.

Ethernet ar “Star” topoloģiju, kuras pamatā ir slēdzis (slēdzis)

Slēdžam ir atbilstības tabula starp mezglu MAC adresēm un tā portiem, ar kuriem šie mezgli ir savienoti. Paketes tagad tiek novirzītas uz konkrētu portu, kas piešķirts paketes galamērķim. Attiecīgi uzbrucējs var skatīt tikai viņam adresētas vai apraides paketes.

Tomēr ir veidi, kas ļauj uzbrucējam apiet šo ierobežojumu un klausīties satiksmi, kas tam nav paredzēta. Viena no šīm metodēm ir ARP viltošanas uzbrukums (cits uzbrukuma nosaukums ir ARP saindēšanās, t.i., saindēšanās). ARP viltošanas uzbrukums ir veids cilvēks-vidū(vīrietis pa vidu).

Lai ģenerētu paketi un nosūtītu to uz tīklu, datoram ir jāzina paketes saņēmēja IP un MAC adreses. IP adrese, kā likums, sūtītājam ir zināma jau iepriekš (vai ir zināms saņēmēja domēna vārds, caur kuru ir viegli iegūt IP adresi, izmantojot DNS serveri). Lai atrastu MAC adresi, izmantojot zināmu IP, tiek izmantots ARP (Address Resolution Protocol) protokols. Tas darbojas šādi:

Kad datoram ir jānosūta pakete uz noteiktu IP adresi, tas vispirms pārbauda savu ARP kešatmiņu, lai noskaidrotu, vai tajā ir meklētā IP-MAC kartēšana. (Varat skatīt sava datora ARP kešatmiņas saturu, komandu uzvednē izpildot arp –a.) Ja tāda ir, tad saņemtā MAC adrese tiek ievietota izejošās paketes galvenē, un pakete tiek nosūtīta uz tīklu.

Pretējā gadījumā tīklam tiek nosūtīts īpašs apraides ARP pieprasījums (“Kam ir 192.168.0.1?”). Jebkuram datoram, kurš pieprasījumā ir atpazinis savu IP adresi, ir jāatbild savam sūtītājam un jānosūta tā MAC adrese. Tas tiek ievietots pieprasītāja ARP kešatmiņā un tiek izmantots turpmākai tīkla pakešu sūtīšanai.

Uzbrucējs var izmantot ARP protokolu, lai pārtvertu trafiku starp diviem tīkla datoriem.

ARP viltošanas uzbrukuma shēma

Pieņemsim, ka uzbrucējam X ir jāskatās satiksme no A līdz B un atpakaļ. Lai to izdarītu, viņš nosūta uz datoru A nepatiesa ARP atbilde, kas satur datora B IP adresi un it kā atbilstošo uzbrucēja X MAC adresi. Līdzīga ARP atbilde tiek nosūtīta uz B: tajā datora A IP adrese tiek saskaņota ar uzbrucēja X MAC adresi. ARP protokols to nedara. nepieciešama autentifikācija, tāpēc A un B nevar pārbaudīt ienākošo datu uzticamību un nekavējoties ievadīs tos savā ARP kešatmiņā. Tādējādi tas notiek Saindēšanās ar ARP kešatmiņu mezgli A un B, ievadot tajos nepareizus, nepatiesus datus. Tajā pašā laikā, vienreiz nosūtot viltus ARP paketi un nomainot kāda cita datora ARP kešatmiņu, šī procedūra periodiski jāveic atkal un atkal, jo jebkura operētājsistēma arī pastāvīgi atjaunina savu ARP kešatmiņu noteiktos intervālos. Pietiek to darīt reizi 20–40 sekundēs.

Tagad dators A, kas gatavojas nosūtīt datus uz B, nosūtīs tos uz X (jo slēdzis faktiski piegādā datus adresāta MAC adresē). Uzbrucējs X saņem datus, apskata tos un pēc tam pārsūta tos likumīgajam adresātam B bez atklāšanas. Līdzīga situācija notiek arī pretējā virzienā: satiksmi, kas tiek pārraidīta no B uz A, var izpētīt arī uzbrucējs. Īpašs ieguvums uzbrucējam (un attiecīgi arī īpašas briesmas) ir gadījums, kad viens no uzbruktajiem datoriem ir vārteja, t.i. kalpo lokālā tīkla savienošanai ar internetu. Tad uzbrucējam var būt piekļuve lietotājvārdiem un parolēm, lai piekļūtu interneta resursiem (tīmekļa vietnēm, ICQ, e-pastam) un citai konfidenciālai informācijai, kas tiek pārsūtīta uz internetu.

Tādējādi komutētā infrastruktūra nenovērš sniffing draudus. Tomēr tas ievērojami samazina tā smagumu.

Aizsardzības metodes pret ARP viltošanu

Statisko ierakstu izmantošana ARP kešatmiņā. Lai to izdarītu, datora ARP kešatmiņā manuāli jāievada ieraksti par IP un tām atbilstošajām MAC adresēm. Šādā gadījumā uzbrucēja viltus ARP atbilde netiks pieņemta, un kešatmiņas saindēšanās nenotiks.

ARP kešatmiņas ieraksti - statiski un dinamiski

Tomēr šo metodi ir grūti izmantot lielos tīklos tās sarežģītības dēļ. Statiskus ierakstus nevarēs izmantot arī tad, ja IP adreses tiek izplatītas automātiski, izmantojot DHCP serveri.

Viedo slēdžu izmantošana.

Daudziem mūsdienu slēdžu modeļiem ir iebūvēta aizsardzība pret ARP viltošanu (tiek veikta, analizējot ARP trafiku uz slēdža un bloķējot viltus ARP pieprasījumus).

Īpašu ugunsmūra moduļu izmantošana uzbrukumu noteikšanai un bloķēšanai

Daži ugunsmūri ietver īpašu moduli (piemēram, Outpost to sauc par “Attack Detector”), kas ļauj atklāt aizdomīgu tīkla darbību un to bloķēt, kā arī informēt lietotāju par to.

Satiksmes šifrēšana

Šī metode nenovērš pārtveršanu, bet padara to bezjēdzīgu. Ja sakaru kanāls ir kriptogrāfiski drošs, tas nozīmē, ka hakeris pārtver nevis ziņojumu, bet gan šifrētu tekstu (tas ir, nesaprotamu bitu secību). Tomēr ņemiet vērā, ka kriptogrāfisko transformāciju veikšana lielam datu apjomam var ievērojami palēnināt datora darbību.

Ir vēl viens veids, kā klausīties trafiku tīklā. Kā zināms, slēdzis savai darbībai dinamiski izveido atbilstības tabulu “MAC adrese – ports”. Ja pakete iziet cauri slēdzim, kura MAC adrese nav šajā tabulā, slēdzis tai automātiski pievieno jaunu ierakstu, kas atbilst nezināmajai MAC adresei.

Uzbrukums ietver liela skaita pakešu nosūtīšanu ar dažādām viltotām MAC adresēm, izmantojot slēdzi. Šajā gadījumā slēdžu tabula pārplūdīs un pārslēgsies uz “centrmezgla” darbības režīmu. Attiecīgi uzbrucējam būs piekļuve visai trafikai tīklā.

Bezvadu tīklu klausīšanās problēma ir kļuvusi īpaši aktuāla pēdējā laikā, jo bezvadu tīkls pēc savas būtības ir atvērts un publiski pieejams. Lai novērstu nesankcionētu bezvadu trafika noklausīšanos Wi-Fi tīklos, tiek izmantoti īpaši kriptogrāfijas protokoli (šodien visizplatītākie ir WPA un WPA2).

Skenēšana

Tīkla skenēšana ir paredzēta, lai identificētu tīklam pievienotos datorus un noteiktu tajos darbojošos tīkla pakalpojumus (atvērtus TCP vai UDP portus). Pirmais uzdevums tiek veikts, nosūtot ICMP Echo ziņojumus, izmantojot ping programmu un secīgi meklējot tīklā esošo saimniekdatoru adreses.

Tīkla administrators var noteikt skenēšanas mēģinājumus, analizējot tīkla trafiku un uzraugot atbalss ziņojumus, kas īsā laika periodā tiek nosūtīti secīgi uz visām tīkla adresēm. Lai nodrošinātu lielāku slepenību, uzbrucējs laika gaitā var ievērojami pagarināt procesu (“lēna skenēšana”) — tas pats attiecas uz TCP/UDP portu skenēšanu.

Lai noteiktu, kuras UDP vai TCP lietojumprogrammas (kā arī OS sistēmas pakalpojumi) darbojas atklātajos datoros, skeneru programmas. Tā kā visu lielāko interneta pakalpojumu portu numuri ir standartizēti, ja konstatēsiet, piemēram, ka ports 25/TCP ir atvērts, varat secināt, ka šis resursdators ir e-pasta serveris; ports 80/TCP – Web serveris utt. Uzbrucējs iegūto informāciju var izmantot tālākai uzbrukuma uzsākšanai.

Uzņēmēja TCP portu skenēšana tiek veikta vairākos veidos. Vienkāršākais veids ir izveidojot pilnu TCP savienojumu ar pārbaudīto portu. Ja savienojums tika izveidots, tas nozīmē, ka ports ir atvērts un tam ir pievienota servera lietojumprogramma. Šīs metodes priekšrocība ir iespēja veikt skenēšanu bez īpašas programmatūras: standarta telnet programma ļauj norādīt patvaļīgu porta numuru, lai izveidotu savienojumu. Būtisks trūkums ir iespēja uzraudzīt un reģistrēt šādu skenēšanu: analizējot skenētā resursdatora sistēmas žurnālu, tiks atklāti daudzi atvērti un nekavējoties pārtraukti savienojumi, kā rezultātā var veikt pasākumus, lai uzlabotu drošības līmeni. Turklāt, ja izmantojat telnet utilītu, jums būs manuāli jāmeklē visi porti, kas interesē uzbrucēju.

Pusatvērta skenēšana nav aprakstīto trūkumu. Lielākā daļa mūsdienu skeneru darbojas šādi. Skeneris nosūta SYN segmentu uz skenēto portu un gaida atbildi. Atbildes segmenta saņemšana ar SYN un ACK bitiem nozīmē, ka ports ir atvērts; segmenta saņemšana ar RST bitu nozīmē, ka ports ir aizvērts. Saņemot SYN+ACK, skeneris nekavējoties nosūta segmentu ar RST bitu uz atklāto portu, tādējādi novēršot savienojuma mēģinājumu. Tā kā savienojums nekad netika atvērts (no skenera netika saņemts ACK), reģistrēt šādu skenēšanu ir daudz grūtāk.

Trešais ceļš - skenēšana, izmantojot FIN segmentus. Šajā gadījumā segments ar iestatīto FIN bitu tiek nosūtīts uz skenēto portu. Ja FIN segments ir adresēts slēgtam portam, saimniekdatoram OBLIGĀTI jāatbild ar RST segmentu. FIN segmenti, kas novirzīti uz portu stāvoklī LISTEN, tiek ignorēti daudzās TCP/IP implementācijās. Tādējādi atbildes trūkums norāda, ka osta ir atvērta. Šīs skenēšanas metodes varianti sūta segmentus ar FIN, PSH, URG karodziņiem vai vispār bez karogiem (“Null scan”).

Protams, skenēšana ar SYN segmentiem dod ticamākus rezultātus, tomēr, par laimi, daudzi ugunsmūri var neļaut SYN segmentus bez ACK karoga no interneta uz iekšējo tīklu (tādējādi tiek liegti savienojumi no interneta saimniekiem uz iekšējiem saimniekiem, kas iniciēti no interneta. , bet savienojumi ir atļauti no iekšpuses). Šajā gadījumā uzbrucējam nekas cits neatliek, kā izmantot FIN segmentu skenēšanu.

Lai noteiktu atvērtos UDP portus, uzbrucējs var nosūtīt UDP ziņojumu uz pārbaudīto portu. Ja atbildē tiek saņemts ziņojums ICMP Port Unreachable, tas norāda, ka ports ir aizvērts.

Skenera programma var noteikt arī skenētā resursdatora operētājsistēmu pēc tā, kā resursdators reaģē uz īpaši izstrādātām, nestandarta paketēm: piemēram, TCP segmentiem ar bezjēdzīgām karogu kombinācijām vai noteikta veida ICMP ziņojumiem un citiem raksturlielumiem.

Mūsdienu skeneru programmas ļauj ne tikai atklāt atvērtos lietojumprogrammu portus, bet arī noteikt šajās lietojumprogrammās esošo ievainojamību sarakstu un sniegt ieteikumus to novēršanai. Lai skeneris varētu atrast ievainojamības jaunajās lietojumprogrammu versijās, skenera datu bāze ir pastāvīgi jāatjaunina (līdzīgi kā antivīrusu programmas datu bāze).

Tādējādi skenera programmu var izmantot ne tikai uzbrucējs, bet arī pats administrators, lai meklētu ievainojamības un tās novērstu. Tāpat administratoram regulāri jāpārskata atvērto portu saraksts: administratoram nezināma atvērta porta klātbūtne var norādīt uz Trojas programmas klātbūtni sistēmā.

Xspider skenera ziņojums ar atvērto portu sarakstu

Xspider skenera ziņojums: atrasta ievainojamība un ieteikumi tās novēršanai

Varat arī noteikt vietējās mašīnas atvērtos portus, kā arī lietojumprogrammas, kas izmanto šos portus, izmantojot komandrindas utilītu netstat.

Pakešu ģenerēšana

Internetā var atrast gatavas programmas noteikta formāta un satura pakotņu ģenerēšanai. Šādu programmu izmantošana bieži vien neprasa uzbrucējam nekādas programmēšanas prasmes vai izpratni par tīkla darbības principiem, kas padara daudzus uzbrukumus, īpaši pakalpojumu atteikuma uzbrukumus, plaši izpildāmus.

2.4. Trojas zirgi

Paredzēts informācijas zagšanai vai attālā datora vadīšanai.

Trojas programmas atšķiras viena no otras ar darbībām, ko tās veic inficētā datorā. Tālāk ir sniegta Trojas programmu klasifikācija saskaņā ar Kaspersky Lab.

Komanda netstat, kas iekļauts standarta UNIX tīkla rīku komplektā, parāda dažādu ar tīklu saistītu informāciju, piemēram, tīkla savienojumus, interfeisa statistiku, maršrutēšanas tabulas, maskarādes, multiraides utt.

Šajā rakstā mēs apskatīsim desmit praktiskus komandas izmantošanas piemērus netstat operētājsistēmā Linux.

1. Visu portu saraksts (gan klausīties, gan ne)

Visu portu saraksts: netstat -a

# netstat -a | vairāk Aktīvi interneta savienojumi (serveri un izveidoti) Proto Recv-Q Send-Q Vietējā adrese Ārvalstu adreses stāvoklis tcp 0 0 localhost:domain *:* KLAUSIETIES udp6 0 0 fe80::20c:29ff:fe68:ntp [::]:* Aktīvās UNIX domēna ligzdas (serveri un izveidotie) Proto RefCnt karogi Tips Stāvoklis I-Node Path unix 2 [ ACC ] STREAM LISTENING 20492 /var/run/mysqld/mysqld.sock unix 2 [ ACC ] STREAM LISTENING 23323 /run/php5var -fpm.zeķe

Uzskaitiet visus TCP portus: netstat -at

# netstat -at Aktīvie interneta savienojumi (serveri un izveidoti) Proto Recv-Q Send-Q Vietējā adrese Ārvalstu adreses stāvoklis tcp 0 0 localhost:domain *:* LISTEN tcp 0 0 *:ssh *:* LISTEN tcp 0 0 localhost:ipp *:* KLAUSIES tcp 0 0 *:http *:* KLAUSIES

Uzskaitiet visus UDP portus: netstat -au

# netstat -au Aktīvie interneta savienojumi (serveri un izveidoti) Proto Recv-Q Send-Q Vietējā adrese Ārvalstu adreses stāvoklis udp 0 0 localhost:domain *:* udp 0 0 *:bootpc *:* udp6 0 0 fe80::20c: 29ff:fe68:ntp [::]:*

2. LISTEN stāvoklī esošo kontaktligzdu saraksts

Uzskaitiet visus klausīšanās portus: netstat -l

# netstat -l Aktīvi interneta savienojumi (tikai serveri) Proto Recv-Q Send-Q Vietējā adrese Ārvalstu adreses stāvoklis tcp 0 0 localhost:domain *:* KLAUSIETIES tcp6 0 0 [::]:ssh [::]:* KLAUSIES udp 0 0 192.168.128.134:ntp *:*

Uzskaitiet TCP klausīšanās portus: netstat -lt

# netstat -lt Aktīvi interneta savienojumi (tikai serveri) Proto Recv-Q Send-Q Vietējā adrese Ārvalstu adreses stāvoklis tcp 0 0 localhost:domain *:* LISTEN tcp 0 0 localhost:ipp *:* KLAUSIETIES tcp6 0 0 [::] :ssh [::]:* KLAUSIES

Uzskaitiet klausīšanās UDP portus: netstat -lu

# netstat -lu Aktīvi interneta savienojumi (tikai serveri) Proto Recv-Q Send-Q Vietējā adrese Ārvalstu adreses stāvoklis udp 0 0 *:bootpc *:* udp6 0 0 [::]:ntp [::]:*

Uzskaitiet UNIX klausīšanās ligzdas: netstat -lx

# netstat -lx Aktīvās UNIX domēna ligzdas (tikai serveri) Proto RefCnt karodziņi Tips Stāvoklis I-Mezgls Ceļš unix 2 [ ACC ] STREAM LISTENING 3141 /var/run/fail2ban/fail2ban.sock unix 2 [ ACC ] STREAM LISTENING /var/var 20492 run/mysqld/mysqld.sock unix 2 [ACC] STRAUMAS KLAUSĪBA 23323 /var/run/php5-fpm.sock

3. Skatiet statistiku katram protokolam

Rādīt statistiku par visiem portiem: netstat -s

# netstat -s Ip: 11150 kopējais saņemto pakešu skaits 1 ar nederīgām adresēm 0 pārsūtītas 0 ienākošās paketes izmestas 11149 ienākošās paketes piegādātas 11635 pieprasījumi izsūtīti Icmp: 13791 ICMP ziņojumi saņemti 12 ievades ICMP ziņojums neizdevās. Tcp: 15020 aktīvo savienojumu atveres 97955 pasīvo savienojumu atveres 135 neveiksmīgi savienojuma mēģinājumi Udp: saņemtas 2841 paketes 180 paketes uz nezināmu portu saņemtas. .....

Rādīt statistiku tikai TCP portiem: netstat -st

# netstat -st

Rādīt statistiku tikai UDP portiem: netstat -su

# netstat -su

4. Netstat izvadē parādiet PID un procesa nosaukumu

Opcija netstat - lpp Netstat izvadei pievienos "PID/programmas nosaukumu", un to var apvienot ar jebkuru citu opciju kopu. Tas ir ļoti noderīgi atkļūdošanai, lai noteiktu, kura programma darbojas konkrētā portā.

# netstat -pt Aktīvi interneta savienojumi (bez serveriem) Proto Recv-Q Send-Q Vietējā adrese Ārvalstu adrese Valsts PID/programmas nosaukums tcp 0 0 org-ru-putty.vm.udf:www 52-106.plus.kerch :55723 IZVEIDOTS 9486/nginx: strādnieks tcp 0 0 org-ru-putty.vm.udf:www 52-106.plus.kerch:55757 EDABLISHED 9486/nginx: strādnieks

5. Nosaukuma izšķirtspēja netstat izvadē

Ja jums nav jāatrisina resursdatora nosaukums, porta nosaukums, lietotājvārds, izmantojiet šo opciju netstat -n lai parādītu vērtības digitālā formātā. Komanda parādīs IP adresi, nevis resursdatoru, porta numuru, nevis porta nosaukumu, UID, nevis lietotājvārdu.

Tas arī paātrinās izvadi, jo netstat neveiks nevajadzīgus meklējumus.

# netstat -an

Lai parādītu tikai dažu šo vienumu skaitliskās vērtības, izmantojiet šādas komandas:

# netsat -a --numeric-ports # netsat -a --numeric-hosts # netsat -a --numeric-users

6. Netstat izvade nepārtraukti

Opcija netstat -c izvadīs informāciju nepārtraukti, stilā tops, atsvaidzinot ekrānu ik pēc dažām sekundēm.

# netstat -c Aktīvi interneta savienojumi (bez serveriem) Proto Recv-Q Send-Q Vietējā adrese Ārvalstu adreses stāvoklis tcp 0 0 org-ru-putty.vm.udf:www 182.131.74.202:59933 FIN_WAIT2 tcp 0 0 org- ru-putty.vm.udf:www 182.131.74.202:63761 FIN_WAIT2 tcp 0 0 org-ru-putty.vm.udf:www 92-181-66-102-irk.:4585 IZVEIDOTS ^C

7. Adrešu saimes, kuras sistēma neatbalsta

Opcija netstat — daudznozīmīgs parādīs detalizētu izvadi un pašās beigās parādīs neatbalstītas adrešu ģimenes.

Netstat: šajā sistēmā neatbalsta 'AF IPX'. netstat: neatbalsta 'AF AX25' šajā sistēmā. netstat: šajā sistēmā neatbalsta 'AF X25'. netstat: neatbalsta 'AF NETROM' šajā sistēmā.

8. Kodola maršrutēšana

Rādīt kodola maršrutēšanas tabulu: netstat -r

# netstat -r Kodola IP maršrutēšanas tabula Destination Gateway Genmask Flags MSS Window irtt Iface noklusējuma 192.168.128.2 0.0.0.0 UG 0 0 0 eth0 192.168.128.0 * 255.255.250 * 255.255.250.

Piezīme: izmantojiet netstat -rn lai skatītu maršrutu digitālā formātā, neatrisinot resursdatora nosaukumus.

9. Ostu un procesu atbilstība

Uzziniet, kuru portu aizņem noteikta programma:

# netstat -ap | grep ssh (Nevarēja identificēt visus procesus, informācija par procesu, kas nepieder, netiks rādīta, jums ir jābūt root, lai to visu redzētu.) tcp 0 0 *:ssh *:* KLAUSIES - tcp6 0 0 [::] :ssh [::]:* KLAUSIES -

Uzziniet, kurš process izmanto noteiktu portu:

# netstat -an | grep ":80"

10. Tīkla saskarnes

Rādīt tīkla saskarņu sarakstu: netstat -i

# netstat -i Kodola interfeisa tabula Iface MTU Met RX-OK RX-ERR RX-DRP RX-OVR TX-OK TX-ERR TX-DRP TX-OVR Flg eth0 1500 0 1911037 0 0 0 1382056 0 0 1 0 1382056 0 0 1 0 B4MRU6 lo0 0 0 0 0 0 0 0 0 LRU

Rādīt paplašināto informāciju par saskarnēm (tā pati kā ifconfig): netstat - ti

# netstat -ie Kernel Interface tabula eth0 Saites encap:Ethernet HWaddr 00:0c:29:68:4c:a4 inet adr:192.168.128.134 Bcast:192.168.128.255 Maska:255.255.25:ffc8 inet25:25:0c fe68:4ca4/64 Darbības joma: Saite UP APRAIDE, DARBOJAS MULTICAST MTU: 1500 Metrika: 1 RX paketes: 24278 kļūdas: 0 nomests: 0 pārtēriņš: 0 kadrs: 0 TX paketes: 11275 kļūdas: 0 atmests: 0 pārtēriņš: 0 nesējs:0 sadursmes:0 txqueuelen:1000 RX baiti:33203025 (33,2 MB) TX baiti:665822 (665,8 KB) Pārtraukums:19 Bāzes adrese:0x2000

11. netstat -lnptux

Apkoposim iepriekš minēto un apvienosim taustiņus vienā noderīgā komandā, kas parādīs:

- visi atvērtie porti (KLAUSIETIES)
-t, izmantojot TCP protokolu
-u, izmantojot UDP protokolu
-x, izmantojot UNIX Socket protokolu
-n bez IP/nosaukumu atrisināšanas
-p, bet ar procesu nosaukumiem un PID

Piezīme. Ne visus procesus var identificēt pēc pēdējās atslēgas, citi procesi netiks rādīti. Jums ir jābūt saknei, lai visu redzētu.

# netstat -lnptux Aktīvi interneta savienojumi (tikai serveri) Proto Recv-Q Send-Q Vietējā adrese Ārvalstu adrese Valsts PID/Programmas nosaukums tcp 0 0 0.0.0.0:80 0.0.0.0:* KLAUSIETIES 9614/nginx tcp 0 0 0.0.0. :22 0.0.0.0:* KLAUSĪTIES 601/sshd udp 0 0 8.8.4.4:123 0.0.0.0:* 574/ntpd udp 0 0 127.0.0.1:123 0.0.0.0:p0.0.0.0. 123 0.0.0.0:* 574/ntpd aktīvās UNIX domēna ligzdas (tikai serveriem) Proto RefCnt karodziņi Tips Stāvoklis I-mezgls PID/Programmas nosaukums Ceļš unix 2 [ ACC ] STRŪMAS KLAUSĪBA 4233 826/python /var/run/fail2ban/ sock unix 2 [ ACC ] STREAM LISTENING 8122 2561/mysqld /var/run/mysqld/mysqld.sock unix 2 [ ACC ] STREAM LISTENING 160413 7301/php-fpm.conf /var/fpm.php

2013. gada janvāris, vietne

Lūdzu, iespējojiet JavaScript

Atveriet komandu uzvednes logu (kā administrators). Lodziņā "Start\Search" ierakstiet "cmd", pēc tam ar peles labo pogu noklikšķiniet uz "cmd.exe" un atlasiet "Palaist kā administratoram".

Ierakstiet šādu tekstu un nospiediet taustiņu Enter.

netstat -abno

-a Parāda visus savienojumus un klausīšanās portus.

-b Parāda izpildāmo failu, kas iesaistīts katra savienojuma vai klausīšanās porta izveidē. Dažos gadījumos zināmam izpildāmajam resursdatoram ir vairāki neatkarīgi komponenti, un šajos gadījumos savienojuma vai klausīšanās porta izveidē ir iesaistīta komponentu secība. Šajā gadījumā izpildāmā faila nosaukums ir apakšā, augšpusē ir tā nosauktā komponenta nosaukums utt. līdz tiek sasniegts TCP/IP. Lūdzu, ņemiet vērā, ka šī opcija var aizņemt ilgu laiku un neizdosies, ja jums nebūs pietiekamas atļaujas.

-n Parāda adreses un portu numurus ciparu formātā.

-o Parāda ar katru savienojumu saistīto īpašumtiesību procesa ID.

Sadaļā “Vietējā adrese” atrodiet portu, kuru klausāties.

Apskatiet procesa nosaukumu tieši zem šī.

PIEZĪME. Lai atrastu procesu uzdevumu pārvaldniekā

Ņemiet vērā procesa ID (procesa ID) blakus portam, kuru meklējat.

Atveriet Windows uzdevumu pārvaldnieku.

Dodieties uz cilni Procesi.

Apskatiet PID, ko atzīmējāt, veicot netstat 1. darbībā.

Ja neredzat sleju PID, noklikšķiniet uz Skatīt/atlasīt kolonnas. Izvēlieties PID.

Pārliecinieties, vai ir atlasīta opcija “Rādīt procesus no visiem lietotājiem”.

Varētu būt noderīgi izlasīt: